Mit einer RPKI (Resource Public Key Infrastructure) BGP absichern
Das BGP (Border Gateway Protocol) gehört zu den fundamentalen Elementen des Internets. Das IP-Routing muss man heutzutage aber angemessen absichern.
Die globale Internet-Routing-Tabelle ist im Prinzip auf einem Vertraue-aber-Verifiziere-Modell aufgebaut. Das kommt eigentlich noch aus der Anfangszeit des Internets, als sich die Backbone-Techniker noch alle persönlich kannten. Wie bei vielen anderen frühen Anwendungen, war Sicherheit kein primärer Faktor bei der Entwicklung des BGP (Border Gateway Protocol).
Das Internet war plötzlich nicht mehr in erster Linie ein Medium für akademische Kommunikation. Applikationen und Protokolle, die sich auf Vertrauen und persönliche Verbindungen verließen, wurden durch Technologien ersetzt, die kryptographische Mechanismen einsetzen.
Damit garantieren sie Privatsphäre, Integrität der Daten und Verifizierung der Identität. Telnet wurde fast komplett durch Secure Shell (SSH) ersetzt und offene Mail-Relays wurden zum größten Teil abgeriegelt. Es gab schon immer die Notwendigkeit, das Gleiche mit BGP-Security zu tun. Nun existieren die Standards, den „Überprüfen“-Teil von Vertrauen-durch-Überprüfen zu stärken.
Es gibt keine zentrale Autorität für globales IP-Routing
Es gibt keine zentrale Autorität in Bezug auf globale IP-Routing-Informationen. Weiterhin ist die Routing-Struktur des Internets nicht hierarchisch. Die globale Routing-Tabelle wird von Betreibern angelegt, die sich zueinander verbinden und preisgeben, für welche Routen sie Traffic akzeptieren. Um das zu realisieren, etabliert BGP Sitzungen zwischen Routern, um die Voraussetzungen für Erreichbarkeits-Informationen auszuhandeln.
Selbst kleine oder mittelständische Unternehmen, die keine ISPs (Internet Service Provider) sind, können bei BGP teilnehmen. So sind sie in der Lage, sich zu mehreren ISPs simultan zu verbinden und auf einfache Weise zwischen den Providern umzuschalten. Zu jedem Zeitpunkt kann jeder BGP-„Sprecher“ jeglichen IP-Präfix ankündigen.
Vergleichen Sie das mit dem öffentlichen, geswitchten Telefon-Netzwerk. Dort sind Routing-Informationen statisch und werden in Form von Papier oder einer Datenbank verteilt. Jeder, der schon einmal versucht hat, die Nummern zwischen verschiedenen Telekommunikations-Unternehmen zu portieren, wird die Vorteile von BGP verstehen. Diese Flexibilität hat das rapide Wachstum des Internets unterstützt.
Es ist ein fundamentales Element, das zum täglichen Gebrauch des Internets gehört, aber vor dem Endanwender versteckt ist. Diese Unsichtbarkeit erklärt sicherlich auch, warum in BGP so viele Security-Verbesserungen nicht eingeflossen sind, die in andere Internet-Protokolle und -Applikationen Einzug gehalten haben.
Es gibt nichts im BGP oder in der IP-Adressierung, das ein Netzwerk hindert, falsche Präfixe auszurufen. Auch hier handelt es sich in erster Linie um ein auf Vertrauen basiertes System, bei dem ISPs verifizieren müssen, dass die so genannten Downstream-Kunden die Netzwerke angemessen ausrufen.
Filter sollten Einsatz finden, damit ein Kunde kein Netzwerk ankündigen kann, das ihm nicht zugewiesen wurde. Allerdings ist der Prozess anfällig für Fehler und basiert auf mangelhaft aktualisierten Informationen aus der Whois-Datenbank oder einer Ansammlung an Routen-Einträgen. Keine davon ist maßgebend, selbst unter den besten Umständen können sich immer noch Fehler einschleichen.
PKI (Public Key Infrastructure) könnte die Antwort sein
Präfix-Piraterie (Prefix Hijacking) nennt man es, wenn ein Netzwerk-Betreiber eine Route beansprucht oder ausruft, die ihm nicht zugewiesen ist. Im Jahre 2008 hat ein ISP aus Brasilien aus Versehen fast seine komplette Routing-Tabelle an seine Partner-Instanzen ausgegeben. Zum Glück wurde das relativ schnell bemerkt und der Schaden hielt sich in Grenzen.
2014 hat die Pakistan Telecommunication Co. einen weltweiten Ausfall verursacht, als dem Unternehmen bei dem Konfigurations-Versuch ein Fehler unterlief, YouTube zu blockieren. Handelte es sich hier um eine Fehlkonfiguration oder um einen absichtlichen DoS (Denial of Service)? An dieser Stelle lässt sich nur mutmaßen. In der jüngeren Vergangenheit gab es solche Piraterie-Versuche mit Hinblick auf Profit. Genau genommen geht es um das Stehlen von Bitcoins.
Es gibt eine Lösung, um viele dieser Probleme zu adressieren. Sie nennt sich RPKI (Resource Public Key Infrastructure). RPKI ist ein spezielles PKI-Framework, das auf Erweiterungen der X.509-Zertifkate aufbaut, um Ursprungs-Informationen für IP-Routen zu transportieren. Wenn ein Unternehmen einen Präfix ausrufen möchte, wird eine ROA (Route Origin Attestation) erstellt. Dieses Konstrukt enthält Präfix, Masken-Längenbereich und eine autonome Ursprungs-System-Nummer.
Diese ROAs sind Ankündigungen an die Welt, dass eine spezifische Organisation über eine belegbare Autorisierung verfügt, ein spezielles IP-Präfix ausrufen zu dürfen. Im Moment ist weniger als fünf Prozent der globalen Tabelle mit ROAs geschützt. Dabei sind Lateinamerika und die Karibik führend, wenn man der Website RPKI Dashboard Glauben schenken darf. Ungefähr 20 Prozent der Routen aus Lateinamerika und des Caribbean Network Information Centre sind mit RPKI verifiziert. Das repräsentiert in etwa 2,5 Prozent der globalen Routing-Tabelle.
Zwei Methoden, die Plattform zu implementieren
Es gibt zwei Methoden, RPKI zu implementieren: gehostet (hosted) und delegiert (delegated). Beim gehosteten Modell betreibt die RIR (Regional Internet Registry) die Zertifikats-Autorität (CA, Certificate Authority) und hostet die privaten Zertifikate für Unternehmen, die daran teilnehmen möchten.
Das ist eine einfach Methode für kleinere Firmen, mit dem Thema zu beginnen. Möglicherweise stehen hier nicht so viele Ressourcen zur Verfügung. Außerdem gibt es bei den in den ROAs enthaltenen Details relativ wenig Änderungen. Die RIR betreibt ein Portal, über das Sie entsprechend interagieren können.
Delegiertes RPKI ist wesentlich flexibler. Ein Unternehmen kann eine programmierbare Schnittstelle zu der RIR-Infrastruktur betreiben. Dazu muss das Unternehmen allerdings eine CA mit dem dazugehörigen Management-Overhead werden. Das eignet sich besser für Service-Provider, die über Nummern-Ressourcen verfügen. Diese werde wiederum Downstream-Kunden oder -Firmen zugewiesen, die viele Änderungen vornehmen und wo ein menschliches Eingreifen mithilfe eines Web-Portals nur eine Last wäre.
Beim gehosteten Modell haben die RIRs diesen neuen Standard implementiert und die Hürde ist niedrig, um auf den Zug aufzuspringen. Somit können selbst die kleinsten Netzwerk-Betreiber mitmachen, die BGP verwenden. Benutzt ein Unternehmen BGP nicht, ist es dennoch wichtig, dass Sie die Security-Rolle dieser Technologie verstehen.
Verbinden Sie sich nicht via BGP mit dem Internet, sollten Sie ihren Upstream-Provider zwei Fragen stellen: Sind die meiner Firma zugewiesenen Präfixe mit RPKI geschützt? Ist das nicht der Fall, wann wird dieser zusätzliche Schutz implementiert?
Evaluieren Sie Cloud-Provider, um Schutz zu garantieren
Ist Ihre Webseite oder -Anwendung von einem Cloud-Provider gehostet, sollte ein Teil des Evaluierungs- und Auswahl-Prozesses sein, ob die Netzwerke mit den entsprechenden Applikationen mit RPKI angemessen abgesichert sind. Stellen Sie sich Nachfolgendes vor: Die zuvor erwähnte Routing-Piraterie, die es auf Bitcoin-Miner abgesehen hatte, wurde auf Amazon Web Services gehostet.
Es ist wichtig, darauf hinzuweisen, dass RPKI die Überprüfung des BGP-Ursprungs adressiert und nicht die des Pfades. RPKI kann nicht alle Routing-Anomalien entdecken, sondern nur wenn ein Präfix seinen Ursprung in einem nicht autorisierten, autonomen System hat.
Die globale Routing-Tabelle ist das fundamentale Element des Internets. Die Integrität liegt in der Verantwortung aller beteiligten Netzwerke. RPKI ist ein wichtiger Schritt vorwärts, um die Integrität dieser gemeinsam genutzten Ressource zu garantieren. Es gibt nicht länger einen Grund, warum es aufgrund von Fehlkonfigurationen und Piraterie zu Ausfällen kommt.
Folgen Sie SearchNetworking.de auch auf Facebook, Twitter und Google+!
